Gestion des principaux de Kerberos

Cette section fournit des instructions détaillées permettant d'administrer les principaux à l'aide de l'outil SEAM. Elle fournit également des exemples d'équivalents de lignes de commande, le cas échéant.

Gestion des principaux de Kerberos (liste des tâches)

Tâche	Description	Voir
Affichage de la liste de principaux.	Affichez la liste des principaux en cliquant sur l'onglet Principals (Principaux).	Affichage de la liste des principaux Kerberos
Affichage des attributs d'un principal.	Affichez les attributs d'un principal en le sélectionnant dans la liste correspondante, puis en cliquant sur le bouton Modify (Modifier).	Affichage des attributs d'un principal Kerberos
Création d'un principal.	Créez un principal en cliquant sur le bouton Create New (Créer) dans le panneau Principal List (Liste de principaux).	Création d'un principal Kerberos
Duplication d'un principal.	Dupliquez les attributs d'un principal en le sélectionnant dans la liste correspondante, puis en cliquant sur le bouton Duplicate (Dupliquer).	Duplication d'un principal Kerberos
Modification d'un principal.	Modifiez les attributs d'un principal en le sélectionnant dans la liste correspondante, puis en cliquant sur le bouton Modify (Modifier). Notez que vous ne pouvez pas modifier le nom d'un principal. Pour renommer un principal, vous devez le dupliquer, lui donner un nouveau nom, l'enregistrer, puis supprimer l'ancien principal.	Modification d'un principal Kerberos
Suppression d'un principal.	Supprimez les attributs d'un principal en le sélectionnant dans la liste correspondante, puis en cliquant sur le bouton Delete (Supprimer).	Suppression d'un principal Kerberos
Définition des valeurs par défaut pour la création de principaux.	Définissez des valeurs par défaut pour la création de principaux en sélectionnant Properties (Propriétés) dans le menu Edit (Edition).	Paramétrage des valeurs par défaut pour la création de principaux Kerberos
Modification des privilèges d'administration Kerberos (fichier `kadm5.acl`).	Ligne de commande uniquement. Les privilèges d'administration Kerberos déterminent les opérations qu'un principal peut effectuer sur la base de données Kerberos, tels que l'ajout et la modification. Vous devez modifier le fichier `/etc/krb5/kadm5.acl` pour modifier les privilèges d'administration Kerberos pour chaque principal.	Procédure de modification des privilèges d'administration Kerberos

Automatisation de la création de principaux Kerberos

Même si l'outil SEAM offre une certaine facilité d'utilisation, il ne propose pas de moyen d'automatiser la création de principaux. L'automatisation est particulièrement utile si vous avez besoin d'ajouter 10 ou même 100 nouveaux principaux dans un court laps de temps. Vous pouvez toutefois automatiser la création de principaux en utilisant la commande kadmin.local dans un script shell Bourne.

La ligne de script shell suivante illustre une manière d'automatiser la création de nouveaux principaux :

awk '{ print "ank +needchange -pw", $2, $1 }' < /tmp/princnames | 
        time /usr/sbin/kadmin.local> /dev/null

Cet exemple est réparti sur deux lignes pour une meilleure lisibilité. Le script lit un fichier appelé princnames contenant les noms de principaux et leurs mots de passe, et les ajoute à la base de données Kerberos. Vous devez créer le fichier princnames contenant un nom de principal et son mot de passe sur chaque ligne, séparés par un ou plusieurs espaces. L'option +needchange configure le principal de manière à ce que l'utilisateur soit invité à saisir un nouveau mot de passe lors de la première connexion au principal. Cette pratique permet de s'assurer que les mots de passe dans le fichier princnames ne représentent pas un risque pour la sécurité.

Vous pouvez construire des scripts plus élaborés. Par exemple, le script peut utiliser les informations contenues dans le service de noms pour obtenir la liste des noms d'utilisateur pour les noms de principaux. Ce que vous faite et la manière dont vous le faites est déterminé par les besoins de votre site et votre expérience en script.

Affichage de la liste des principaux Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

Si nécessaire, démarrez l'outil SEAM.
Pour plus d'informations, reportez-vous à la section Démarrage de l'outil SEAM.
```
$ /usr/sbin/gkadmin
```
Cliquez sur l'onglet Principals (Principaux).
La liste de principaux s'affiche.
Affichez un principal spécifique ou une sous-liste de principaux.
Saisissez une chaîne dans le champ de filtre et appuyez sur la touche Entrée. Si le filtre fonctionne, la liste de principaux qui lui correspond s'affiche.
La chaîne du filtre doit être composée d'un ou plusieurs caractères. Notez bien que le mécanisme de filtrage respecte la casse et qu'il vous faut utiliser les majuscules et minuscules appropriées. Par exemple, si vous entrez la chaîne de filtrage ge, le mécanisme de filtrage affiche uniquement les principaux contenant la chaîne ge (george ou edge par exemple).
Si vous souhaitez afficher l'intégralité de la liste de principaux, cliquez sur Clear Filter (Supprimer le filtre).

Exemple 23-1 Affichage de la liste de principaux Kerberos (ligne de commande)

Dans l'exemple suivant, la commande list_principals de kadmin est utilisée pour obtenir la liste de tous les principaux correspondant à kadmin*. Les caractères génériques peuvent être utilisés avec la commande list_principals.

kadmin: list_principals kadmin*
kadmin/changepw@EXAMPLE.COM
kadmin/kdc1.example.con@EXAMPLE.COM
kadmin/history@EXAMPLE.COM
kadmin: quit

Affichage des attributs d'un principal Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

Si nécessaire, démarrez l'outil SEAM.
Pour plus d'informations, reportez-vous à la section Démarrage de l'outil SEAM.
```
$ /usr/sbin/gkadmin
```
Cliquez sur l'onglet Principals (Principaux).
Sélectionnez le principal dans la liste que vous souhaitez afficher, puis cliquez sur Modify (Modifier).
Le panneau Principal Basics (Informations de base du principal) contenant certains attributs du principal s'affiche.
Continuez à cliquer sur Next (Suivant) pour afficher tous les attributs du principal.
Trois fenêtres contiennent les informations sur les attributs. Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre. Ou, pour toutes les descriptions d'attributs de principaux, reportez-vous à la section Descriptions des panneaux de l'outil SEAM.
Lorsque vous avez fini de consulter ces informations, cliquez sur Cancel (Annuler).

Exemple 23-2 Affichage des attributs d'un principal Kerberos

L'exemple suivant montre la première fenêtre lorsque vous visualisez le principal jdb/admin.

image:La boîte de dialogue de l'outil SEAM présente les données de comptes du principal jdb/admin. Elle donne la date d'expiration du compte et des commentaires.

Exemple 23-3 Affichage des attributs d'un principal Kerberos (ligne de commande)

Dans l'exemple suivant, la commande get_principal de kadmin est utilisée pour afficher les attributs du principal jdb/admin.

kadmin: getprinc jdb/admin
Principal: jdb/admin@EXAMPLE.COM

Expiration date: [never]
Last password change: [never]

Password expiration date: Wed Apr 14 11:53:10 PDT 2011
Maximum ticket life: 1 day 16:00:00
Maximum renewable life: 1 day 16:00:00
Last modified: Mon Sep 28 13:32:23 PST 2009 (host/admin@EXAMPLE.COM)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 1
Key: vno 1, AES-256 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 1, AES-128 CTS mode with 96-bit SHA-1 HMAC, no salt
Key: vno 1, Triple DES with HMAC/sha1, no salt
Key: vno 1, ArcFour with HMAC/md5, no salt
Key: vno 1, DES cbc mode with RSA-MD5, no salt
Attributes: REQUIRES_HW_AUTH
Policy: [none]
kadmin: quit

Création d'un principal Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

Si nécessaire, démarrez l'outil SEAM.
Pour plus d'informations, reportez-vous à la section Démarrage de l'outil SEAM.

Remarque - Si vous voulez créer un principal susceptible de requérir une nouvelle stratégie, vous devez d'abord créer cette stratégie. Reportez-vous à la section Création d'une stratégie Kerberos.
```
$ /usr/sbin/gkadmin
```
Cliquez sur l'onglet Principals (Principaux).
Cliquez sur New (Nouveau).
Le panneau Principal Basics (Informations de base du principal) contenant certains attributs du principal s'affiche.
Indiquez un nom de principal et un mot de passe.
Les deux sont obligatoires.
Spécifiez les types de chiffrement pour le principal.
Cliquez sur la boîte située à droite du champ de type de clé de chiffrement pour ouvrir une nouvelle fenêtre qui affiche l'ensemble des types de clés de chiffrement disponibles. Cliquez sur OK après avoir sélectionné les types de chiffrement requis.
Spécifiez la stratégie pour le principal.
Spécifiez des valeurs pour les attributs du principal et continuez d'appuyer sur Next (Suivant) pour en spécifier d'autres.
Trois fenêtres contiennent les informations sur les attributs. Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre. Ou, pour toutes les descriptions d'attributs de principaux, reportez-vous à la section Descriptions des panneaux de l'outil SEAM.
Cliquez sur Save (Enregistrer) pour enregistrer le principal ou cliquez sur Done (Terminé) dans le dernier panneau.
Si nécessaire, configurez les privilèges d'administration de Kerberos pour le nouveau principal dans le fichier /etc/krb5/kadm5.acl.
Pour plus d'informations, reportez-vous à la section Procédure de modification des privilèges d'administration Kerberos.

Exemple 23-4 Création d'un principal Kerberos

L'exemple suivant montre le panneau Principal Basics (Informations de base du principal) lorsqu'un principal appelée pak est créé. La stratégie est définie sur testuser.

image:La boîte de dialogue de l'outil SEAM présente les données de comptes du principal pak. Elle donne le mot de passe, la date d'expiration du compte et la stratégie testuser.

Exemple 23-5 Création d'un principal Kerberos (ligne de commande)

Dans l'exemple suivant, la commande add_principal de kadmin est utilisée pour créer un principal appelé pak. La stratégie du principal est définie sur testuser.

kadmin: add_principal -policy testuser pak
Enter password for principal "pak@EXAMPLE.COM": <Type the password>
Re-enter password for principal "pak@EXAMPLE.COM": <Type the password again>
Principal "pak@EXAMPLE.COM" created.
kadmin: quit

Duplication d'un principal Kerberos

Cette procédure explique comment utiliser tout ou partie des attributs d'un principal existant pour en créer un nouveau. Il n'existe pas d'équivalent de ligne de commande pour cette procédure.

Si nécessaire, démarrez l'outil SEAM.
Pour plus d'informations, reportez-vous à la section Démarrage de l'outil SEAM.
```
$ /usr/sbin/gkadmin
```
Cliquez sur l'onglet Principals (Principaux).
Sélectionnez le principal dans la liste que vous souhaitez dupliquer, puis cliquez sur Duplicate (Dupliquer).
Le panneau Principal Basics (Informations de base du principal) s'affiche. Tous les attributs du principal sélectionné sont dupliqués, sauf les champs de nom et de mot de passe, qui sont vides.
Indiquez un nom de principal et un mot de passe.
Les deux sont obligatoires. Pour effectuer une copie exacte du principal que vous avez sélectionné, cliquez sur Save et passez à l'Étape 7.
Spécifiez des valeurs différentes pour les attributs du principal et continuez d'appuyer sur Next (Suivant) pour en spécifier d'autres.
Trois fenêtres contiennent les informations sur les attributs. Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre. Ou, pour toutes les descriptions d'attributs de principaux, reportez-vous à la section Descriptions des panneaux de l'outil SEAM.
Cliquez sur Save (Enregistrer) pour enregistrer le principal ou cliquez sur Done (Terminé) dans le dernier panneau.
Si nécessaire, configurez les privilèges d'administration de Kerberos pour le principal dans le fichier /etc/krb5/kadm5.acl.
Pour plus d'informations, reportez-vous à la section Procédure de modification des privilèges d'administration Kerberos.

Modification d'un principal Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

Si nécessaire, démarrez l'outil SEAM.
Pour plus d'informations, reportez-vous à la section Démarrage de l'outil SEAM.
```
$ /usr/sbin/gkadmin
```
Cliquez sur l'onglet Principals (Principaux).
Sélectionnez le principal dans la liste que vous souhaitez modifier, puis cliquez sur Modify (Modifier).
Le panneau Principal Basics (Informations de base du principal) contenant certains attributs du principal s'affiche.
Modifiez les attributs du principal et continuez d'appuyer sur Next pour en modifier d'autres.
Trois fenêtres contiennent les informations sur les attributs. Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre. Ou, pour toutes les descriptions d'attributs de principaux, reportez-vous à la section Descriptions des panneaux de l'outil SEAM.

Remarque - Vous ne pouvez pas modifier le nom d'un principal. Pour renommer un principal, vous devez le dupliquer, lui donner un nouveau nom, l'enregistrer, puis supprimer l'ancien principal.
Cliquez sur Save (Enregistrer) pour enregistrer le principal ou cliquez sur Done (Terminé) dans le dernier panneau.
Modifiez les privilèges d'administration Kerberos pour le principal dans le fichier /etc/krb5/kadm5.acl.
Pour plus d'informations, reportez-vous à la section Procédure de modification des privilèges d'administration Kerberos.

Exemple 23-6 Modification du mot de passe d'un principal Kerberos (ligne de commande)

Dans l'exemple suivant, la commande change_password de kadmin est utilisée pour modifier le mot de passe du principal jdb. La commande change_password ne vous permet pas de réutiliser un mot de passe qui se trouve dans l'historique des mots de passe du principal.

kadmin: change_password jdb
Enter password for principal "jdb": <Type the new password>
Re-enter password for principal "jdb": <Type the password again>
Password for "jdb@EXAMPLE.COM" changed.
kadmin: quit

Pour modifier d'autres attributs d'un principal, vous devez utiliser la commande modify_principal de kadmin.

Suppression d'un principal Kerberos

Un exemple d'équivalent de ligne de commande suit cette procédure.

Si nécessaire, démarrez l'outil SEAM.
Pour plus d'informations, reportez-vous à la section Démarrage de l'outil SEAM.
```
$ /usr/sbin/gkadmin
```
Cliquez sur l'onglet Principals (Principaux).
Sélectionnez le principal dans la liste que vous souhaitez supprimer, puis cliquez sur Delete.
Après avoir confirmé la suppression, le principal est supprimé.
Supprimez le principal du fichier de liste de contrôle d'accès (ACL) de Kerberos, /etc/krb5/kadm5.acl.
Pour plus d'informations, reportez-vous à la section Procédure de modification des privilèges d'administration Kerberos.

Exemple 23-7 Suppression d'un principal Kerberos (ligne de commande)

Dans l'exemple suivant, la commande delete_principal de kadmin est utilisée pour supprimer le principal jdb.

kadmin: delete_principal pak
Are you sure you want to delete the principal "pak@EXAMPLE.COM"? (yes/no): yes
Principal "pak@EXAMPLE.COM" deleted.
Make sure that you have removed this principal from all ACLs before reusing.
kadmin: quit

Paramétrage des valeurs par défaut pour la création de principaux Kerberos

Il n'existe pas d'équivalent de ligne de commande pour cette procédure.

Si nécessaire, démarrez l'outil SEAM.
Pour plus d'informations, reportez-vous à la section Démarrage de l'outil SEAM.
```
$ /usr/sbin/gkadmin
```
Choisissez Properties (Propriétés) dans le menu Edit (Editer).
La fenêtre Properties s'affiche.
Sélectionnez les valeurs par défaut que vous souhaitez utiliser lorsque vous créez des principaux.
Choisissez l'aide contextuelle dans le menu d'aide pour obtenir plus d'informations sur les divers attributs dans chaque fenêtre.
Cliquez sur Enregistrer.

Procédure de modification des privilèges d'administration Kerberos

Même si votre site dispose probablement de nombreux principaux d'utilisateurs, en général, vous souhaitez que seul un petit nombre d'utilisateurs soit capable d'administrer la base de données Kerberos. Les privilèges d'administration de la base de données Kerberos sont déterminés par le fichier ACL de Kerberos, kadm5.acl. Le fichier kadm5.acl vous permet d'autoriser ou d'interdire l'ajout de privilèges aux principaux individuels. Ou bien, vous pouvez utiliser le caractère générique "*" dans le nom du principal pour spécifier les privilèges pour les groupes de principaux.

Avant de commencer

Vous devez prendre le rôle root. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d'administration.

Modifiez le fichier /etc/krb5/kadm5.acl.

Une entrée dans le fichier kadm5.acl doit avoir le format suivant :

principal privileges [principal-target]

`principal`	Spécifie le principal auquel les privilèges sont accordés. N'importe quelle partie du nom du principal peut inclure le caractère générique "", ce qui est utile pour fournir les mêmes privilèges pour un groupe de principaux. Par exemple, si vous voulez spécifier tous les principaux avec l'instance `admin`, vous devez utiliser `/admin@realm`. Notez qu'une utilisation commune d'une instance `admin` consiste à accorder des privilèges séparés (tels que l'accès à l'administration de la base de données Kerberos) à un principal Kerberos. Par exemple, l'utilisateur `jdb` peut avoir un principal pour son utilisation administrative, appelé `jdb/admin`. De cette façon, l'utilisateur `jdb` obtient uniquement les tickets de `jdb/admin` lorsqu'il a réellement besoin d'utiliser ces privilèges.
`privileges`	Spécifie les opérations qui peuvent être effectuées ou non par le principal. Ce champ est constitué d'une chaîne de caractères de la liste suivante de caractères ou de leur équivalent majuscule. Si le caractère est majuscule (ou non spécifié), alors l'opération n'est pas autorisée. Si le caractère est minuscule, l'opération est autorisée.
	`a`	Autorise ou interdit l'ajout de principaux ou de stratégies.
	`d`	Autorise ou interdit la suppression de principaux ou de stratégies.
	`m`	Autorise ou interdit la modification de principaux ou de stratégies.
	`c`	Autorise ou interdit la modification des mots de passe des principaux.
	`i`	Autorise ou interdit la consultation de la base de données Kerberos.
	`l`	Autorise ou interdit les liste de principaux ou de stratégies dans la base de données Kerberos.
	`x` ou `*`	Autorise tous les privilèges (`admcil`).
`principal-target`	Lorsqu'un principal est indiqué dans ce champ, les `privilèges` s'appliquent uniquement au `principal` lorsque le `principal` fonctionne sur la `principal-target` (cible du principal). N'importe quelle partie du nom du principal peut inclure le caractère générique "*", ce qui est utile pour un groupe de principaux.

Exemple 23-8 Modification des privilèges d'administration de Kerberos

L'entrée suivante dans le fichier kadm5.acl accorde à tout principal dans le domaine EXAMPLE.COM avec l'instance admin tous les privilèges de la base de données Kerberos :

*/admin@EXAMPLE.COM *

L'entrée suivante dans le fichier kadm5.acl donne au principal jdb@example.com les privilèges d'ajouter, de répertorier et de consulter tous les principaux qui ont l'instance root.

jdb@EXAMPLE.COM ali */root@EXAMPLE.COM

Ignorer les liens de navigation
Quitter l'aperu
	Administration d'Oracle Solaris 11.1 : Services de sécurité Oracle Solaris 11.1 Information Library (Français)